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(57) Abstract 

A method for interconnecting networks which use internet technology, whereby a first network (1) with private IP addressing may 
be linked with a second network (2) with standard IP addressing. Said first and second networks convey packets that each comprise an 
IP header including, in particular, a "source IP address" field and a "destination BP address" field. The packets are considered as outbound 
when they are moved from the first network (1) to the second network (2) via the device, and inbound when the reverse is the case. 
For each outbound packet, the method comprises a first step of converting the private IP address in the "source IP address" field so that 
after conversion, said "source IP address" field contains a single intermediate standard IP address. For each inbound packet, the method 
further comprises a second step of converting the single intermediate standard IP address in the "destination IP address" field so that after 
conversion, said "destination IP address" field of said inbound packet contains one of the private addresses of the first network. 



(57) Abreg£ 



L'invention conceme un proc&le* d* interconnexion de reseaux mettant chacun en ceuvre la technologie internet, du type permettant 
dMnterconnecter un premier reseau (1) presentant un adressage IP prive* et un second reseau (2) presentant un adressage IP normalise; 
lesdits premier et second reseaux v^hiculant des paquets, chacun desdits paquets comportant un en-tete IP comprenant notamment un champ 
"adresse IP source" et un champ "adresse IP destination", les paquets &ant dits sortants s'ils se deplacent du premier (1) vers le second 
(2) reseau a travers ledit dispositif et sortants dans le cas contraire. Le procSde* de l'invention comprend, pour chaque paquet sortant, une 
premiere Stape de conversion de Tadresse IP privee contenue dans ledit champ "adresse IP source", de facon que ledit champ "adresse IP 
source" dudit paquet sortant contienne, apres conversion, une adresse IP normalised intermediate et unique. Le proc&fe' de l'invention 
comprend e*galement, pour chaque paquet entrant, une seconde &ape de conversion de l'adresse IP normalised interm&liaire et unique 
contenue dans le champ "adresse IP destination", de facon que ledit champ "adresse IP destination" dudit paquet entrant contienne, apres 
conversion, une des adresses privees du premier reseau. 
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DISPOSITIF, PROCEDE ET ROUTEUR D 1 INTERCONNEXION DE RESEAUX 

Le domaine de l'invention est celui des r&eaux de telecommunication mettant en 
oeuvre la technologie internet. 

Plus pr6cis&nent, 1' invention concerne un dispositif et un proc6d£ 
d'interconnexion de deux r&eaux mettant chacun en oeuvre la technologie internet, Tun 
pr&entant un adressage IP priv6 et r autre un adressage IP normalise 

La technologie internet, aussi appetee technologie TCP/IP, est bas6e sur 
l'utilisation des protocoles TCP/IP qui se definissent comme une suite de protocoles 
visant non seulement k interconnecter des calculateurs relies par un meme reseau 
physique, mais aussi a interconnecter ces differents reseaux physiques entre eux de 
maniere a constituer un r6seau logique unique. 

Une des particularity marquantes de cette suite de protocoles est d'etre 
independante du support physique, c'est-a-dire de fonctionner sur (et done 
d'interconnecter) toutes les technologies de support presentes et a venir (Ethernet, Token 
Ring, X.25, simple cable serie, ATM, RNIS, Relais de Trames, etc.). 

La technologie TCP/IP peut done etre employee par toute vaste organisation 
desirant uniformiser ses ressources reseaux, classiquement composees de plusieurs 
reseaux physiques, de technologies generalement differentes. Elle va ainsi permettre aux 
utilisateurs et applications informatiques de faire apparaitre ces elements a priori 
incompatibles comme un reseau unique. 

U convient de distinguer la "technologie internet" du r6seau Internet. Ce dernier 
est en fait un rSseau mondial unique, interconnectant de tres nombreuses machines et 
actuellement en tres forte expansion. 

Une organisation peut done deployer son propre reseau sur la base de la 
technologie internet sans etre connectee a Internet (le r6seau mondial). Si elle souhaite 
ensuite s*y connecter, la tache lui sera facilitee puisqu'elle utilise la meme technologie. 

Parmi la serie de protocoles de transmission de donn^es k laquelle fait r^f6rence 
TPC/IP, les plus importants sont : 

IP (pour Internet Protocol en anglo-saxon) ; 
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TCP (pour Transmission Control Protocol en anglo-saxon) ; 

UDP (pour User Datagram Protocol en anglo-saxon). 
Le protocole IP est le protocole de base de la technologie internet. U a pour simple 
fonction de transferer un paquet de donnees (c'est-a-dire un ensemble d'octets) d'une 
machine a l'autre. Pour ce faire, il rajoute au paquet de donnees un en-t6te IP comprenant 
notamment les trois champs suivants : "protocole", "adresse IP source" et "adresse IP 
destination". 

En pratique, les donnees que ve"hicule un paquet IP sont en fait des unites de 
protocole d'un niveau superieur (principe d'encapsulation), tels que TCP et UDP. Le 
champ "protocole" permet done de definir ce protocole. 

Les champs "adresse IP source" et "adresse IP destination" definissent 1'adresse 
IP de la machine emettrice et de la machine destinatrice respectivement. Les adresses sont 
codees sur 32 bits. Dans le monde TCP/IP, une adresse definit a la fois la machine et le 
nSseau physique auquel elle est raccordee. Elle est done unique dans V ensemble du 
reseau. 

Lors de remission d'un paquet, une machine detecte (en comparant la partie des 
adresses deTinissant le r&eau) si la machine destinatrice est sur le meme reseau physique 
qu'elle meme. Auquel cas, elle envoie directement le paquet. Sinon, elle l'envoie a une 
machine capable de faire suivre la paquet vers d'autres reseaux physiques. Une telle 
machine est generalement designee par le terme de "routeur IP'. 

D'une facon generate, les communications entre equipements informatiques 
peuvent se classer en deux grandes families, a savoir les communications en mode non- 
connecte et les communications en mode connecte. 

Dans le mode non-connecte (appele" mode "connectionless", ou mode "datagram" 
par les anglo-saxons), la machine A d6sirant envoyer des donnees a la machine B 
constitue un element de protocole incluant des donnees a transmettre, ainsi que I 'adresse 
de la machine B. Le reseau se charge d'acheminer cet element de protocole jusqu'a la 
machine destinatrice. Dans le monde TCP/IP, le protocole de transfert en mode non- 
connecte est UDP. 

Le mode connects" est plus complexe que le precedent. II introduit la notion de 
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connexion, analogue a une communication t616phonique. Une connexion a lieu entre deux 
equipements informatiques et comporte trois phases : 

Fetablissement : la machine A demande Fetablissement d'une connexion 

vers la machine B et celle-ci Taccepte ; 

le transfert : les machines A et B dchangent des donnSes au travers de cette 
connexion ; 

la liberation : la connexion se termine sur Tinitiative d'une des deux 
machines. 

Une connexion est un objet abstrait concernant au moins les deux equipements 
d'extr&nitf. Ces equipements vont done devoir creer, manipuler et effacer des structures 
de donnees decrivant Tetat de la connexion. 

Dans le monde TCP/IP, le protocole de transfert en mode connecte est TCP. 

Lorsque Ton desire interconnecter plusieurs reseaux, il convient de s* assurer que 
le plan d'adressage de chacun des r&eaux est compatible avec celui de chacun des autres 
r6seaux. 

Ainsi, dans le cas du r6seau mondial Internet, constitu£ de plusieurs reseaux 
interconnects, F adressage IP est normalise, de fa?on que chaque machine, quel que soit 
le reseau auquel elle appartient, possede une adresse IP distincte. Les instances 
administratives du reseau Internet sont seules habilitees a attribuer de nouvelle adresse IP. 

Quand une organisation deploie son propre reseau (dit r6seau prive) sur la base de 
la technologie internet, sans que ce reseau soit intggr£ au reseau mondial Internet, elle 
dSfinit un plan d'adressage prive, qui est incompatible avec le plan d'adressage normalise 
du reseau Internet. Si, ult&ieurement, cette organisation decide de relier son reseau k 
adressage IP prive au reseau Internet, ou plus generalement a un reseau quelconque a 
adressage IP normalise, elle se heurte a un probleme d'incompatibilit^ entre les plans 
d'adressage prive et normalise. 

Une premiere solution comme visant & pallier ce probleme consiste a reconfigurer 
rensemble du reseau prive pr^alablement existant. 

Cette premiere solution est tres difficile a mettre en oeuvre puisque les instances 
administratives d'un reseau h adressage norma!is6 attribuent des espaces d'adressage ne 
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comprenant generalement qu'un faible nombre d'entrees. Ainsi, sur le reseau Internet, il 
est actuellement quasiment impossible d'obtenir des espaces d'adressage sup&ieurs k 256 
entries. En d'autres termes, il est impossible d'offrir des acces au reseau Internet a des 
reseaux prives existants comportant plus de 256 machines. 

Par ailleurs, la logique de P adressage IP 6tant sym<§trique, toute machine du 
r&eau priv6 se mettant en situation d'acc6der au reseau k adressage normalise devient 
immediatement accessible de Pexterieur a travers ce r6seau k adressage normalise. Or, 
une contrainte de l'administrateur du domaine d'adressage DP priv6 est g6n£ralement de 
maintenir la security de son reseau. II souhaite permettre aux machines de son reseau 
prive d'acceder aux ressources disponibles sur le reseau normalise. En revanche, il ne 
souhaite pas que les machines de ce reseau normalise, done exterieures, puissent acceder 
k T ensemble des ressources de son reseau priv& 

Une seconde solution connue visant a pallier rincompatibilite d'adressage entre 
deux reseaux a interconnecter consiste a interposer entre les deux reseaux un dispositif 
realisant une conversion d'adresses. Pour ce faire, le reseau prive doit done se voir 
attribuer, par Fadministrateur du domaine d'adressage IP normalise, une adresse IP 
normalisee de raccordement, qui devra fitre affectee au dispositif de conversion d'adresse, 
et une plage d'adresses IP normalisees destinees a etre affectees aux machines composant 
le reseau a raccorder. 

Dans ce cas, une adresse IP normalisee est substitute de maniere univoque a une 
adresse IP privee lors du passage des paquets au travers de la passerelle que constitue le 
dispositif d' interconnexion entre les deux reseaux. 

Cette seconde solution connue offre 1'avantage, par rapport a la premiere, de ne 
pas ndcessiter une renumSrotation complete du reseau privd. En revanche, elle presente le 
meme inconvenient de n£cessiter une plage d'adresses IP normalisees (au moins autant 
d'adresses normalisees que de machines composant le reseau prive) en plus de T adresse 
de raccordement, ainsi que celui de ne pas assurer la securite du reseau prive (du fait de 
la symetrie de la logique d'adressage IP). 

Les passerelles applicatives constituent une troisfeme solution connue visant k 
pallier rincompatibilite d'adressage entre deux reseaux a interconnecter. 
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Cette troisieme solution connue, si elle est performante sur le plan de la facilite 
d'administration et de la s£curit6, prSsente les inconv&iients suivants : 

un programme de relais applicatif est n^cessaire pour chaque type 
d' application. La liste des services supports est done forcement reduite. 
Et surtout, une passerelle applicative ne pourra pas, sauf mise k jour 
logicielle, supporter les nouveaux services Internet encore inconnus ou 
exp&imentaux h ce jour ; 

le programme n'est pas transparent pour Futilisateur. II doit en effet se 
connecter sur la passerelle, et ensuite etablir la connexion vers le service 
desire. Ceci pouvant etre plus ou moins masque par des protocoles 
specifiques entre la passerelle et Futilisateur. Mais, ensuite il est alors 
generalement necessaire de modifier Toutil d'acces, ce qui interdit 
Temploi de produits standards du marche. 
L'invention a notamment pour objectif de pallier ces diffiSrents inconv6nients de 
l'etat de la technique. 

Plus precisement, Tun des objectif s de la presente invention est de fournir un 
procede de conversion d'adresse entre un premier reseau presentant un adressage IP privd 
et un second reseau presentant un adressage IP normalise, ce procede ne necessitant pas 
r attribution au reseau prive d'une plage d'adresses IP normalisees. 

L'invention a egalement pour objectif de fournir un tel proced^ qui permette 
d'interdire les connexions du reseau k adressage normalise vers le reseau a adressage 
prive, de fagon a assurer la security du reseau priv6. 

Un autre objectif de l'invention est de fournir un tel procede qui soit independant 
du type duplication et transparent pour les utilisateurs des machines du reseau prive. 

Un objectif complementaire de l'invention est de fournir un dispositif 
d' interconnexion d'adresses repondant aux objectifs precitds. 

Ces differents objectifs, ainsi que d'autres qui apparaitront par la suite, sont 
atteints selon l'invention a Faide d'un proc£d6 d'interconnexion de reseaux mettant 
chacun en oeuvre la technologie internet, du type permettant d'interconnecter un premier 
reseau presentant un adressage IP prive et un second reseau presentant un adressage IP 
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normalise, lesdits premier et second rSseaux vehiculant des paquets, chacun desdits 
paquets comportant un en-tete IP comprenant notamment un champ "adresse IP source** 
et un champ "adresse IP destination", les paquets 6tant dits sortants s'ils se deplacent du 
premier vers le second r&eau k travers ledit dispositif et entrants dans le cas contraire, 

ledit proc&i6 comprenant, pour chaque paquet sortant, une premiere etape de 
conversion de l'adresse IP privee contenue dans ledit champ "adresse IP source", de 
fa?on que ledit champ "adresse IP source" dudit paquet sortant contienne, apres 
conversion, une adresse IP normalisee interm&iiaire et unique ; 

et ledit procede comprenant, pour chaque paquet entrant, une seconde etape de 
conversion de l'adresse IP normalisee interm&liaire et unique contenue dans le champ 
"adresse IP destination", de fa?on que ledit champ "adresse IP destination" dudit paquet 
entrant contienne, aprfcs conversion, une des adresses privees du premier reseau. 

Ainsi, le principe general de P invention consiste k n'utiliser qu'une seule adresse 
IP normalisee. Vu du reseau normalise, toutes les connexions provenant du reseau prive 
apparaissent comme provenant de cette adresse unique. Ceci permet une grande 
simplification de 1' administration du dispositif qui met en oeuvre le procede de 
Tinvention, comme de 1' administration de 1'ensemble du reseau prive. De plus, le 
procede de Tinvention offre la possibility de connexion k partir d'un simple acces de type 
"dialup-ip". 

Dans un mode de realisation pr&terentiel de 1'invention, chacun desdits paquets 
comportant un en-tete TCP ou UDP comprenant notamment un champ "port source" et un 
champ "port destination", ledit en-tete IP comprenant en outre un champ "protocole de 
transport" indiquant le protocole TCP ou UDP utilise, les paquets empruntant des 
connexions bidirectionnelles, chaque connexion etant un lien logique entre une premiere 
extremite du premier reseau et une seconde extremite du second reseau, chaque premiere 
ou seconde extremis etant identifiee par une adresse IP, un port et un protocole de 
transport, chaque connexion &ant identifiee par un jeu de paramfctres {EPa, Pa, IPb, Pb, 
proto} correspondant respectivement k l'adresse IP et au port de la premise extremity k 
r adresse IP et au port de la seconde extr£mit£, et au protocole de transport commun aux 
premiere et seconde extr6mites, 
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lesdites premieres et secondes etapes de conversion d'adresse comprennent, pour 
chaque paquet, les etapes suivantes : 

lecture des champs "adresse IP source", "port source", "adresse IP destination", 
"port destination", et "protocole de transport" dudit paquet, de fa§on h disposer d'un jeu 
de paramfctres correspondant aux contenus desdits champs lus et permettant d'identifier 
une connexion d'origine empruntee par ledit paquet ; 

recherche dans une table de conversion d'une entree correspondant k ladite 
connexion d'origine empruntee par le paquet, ladite table de conversion associant une 
connexion transposee distincte a chaque connexion d'origine ; 

s'il n'existe pas d'entree correspondant k ladite connexion d'origine empruntde 
par le paquet, creation et ajout dans ladite table de conversion d'un nouveau couple 
(connexion d'origine, connexion transposee) ; 

modification dudit paquet, de fa?on a remplacer la connexion d'origine par la 
connexion transposee qui lui est associge. 

De cette fa?on, l'adresse IP normalise de I'ensemble du rdseau priv6 est partag^e 
dans le temps par diff&entes connexions, chaque connexion £tant definie par un jeu de 
cinq parametres. Ainsi, pour chaque paquet (sortant ou entrant) a traiter, on determine la 
connexion d'origine utilisee par ce paquet, et a partir d'une table de conversion, on en 
d<§duit une connexion transposee que doit utiliser le paquet pour la suite de son trajet. 

Une connexion TCP/IP s'etablit entre deux couples (adresse IP source/port 
source) et (adresse IP destination/port destination). D'un point de vue plus applicatif, une 
connexion s*6tablit toujours suivant un principe client/serveur. C'est-&-dire qu'une 
application desirant dialoguer avec un service va etablir une communication avec la 
machine supportant ce service (ce qui definit l'adresse IP destination). Cette machine 
pouvant supporter differentes applications, c'est le port destination qui va permettre de 
selectionner Fapplication souhaitee. 

Si le paquet est sortant, les deux adresses IP source et destination de la connexion 
transposee sont des adresses IP normalises. Si le paquet est entrant, les deux adresses 
IP source et destination de la connexion d'origine sont des adresses IP normalisees. 

Dans un premier mode de realisation avantageux du proc6de de l'invention, ladite 
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etape de creation et d'ajout dans ladite table de conversion d'un nouveau couple 
(connexion d'origine, connexion transpos6e) consiste h cr£er dans ladite table de 
conversion une premiere et une seconde entree associant chacune un jeu de param&tres 
d'origine J 0 = {ip_src, p_src, ip_dst, p_dst, p_proto} a un jeu de param&res transposes 
J t = {ip_src\ p_src\ ip_dst\ p_dst\ p^proto*}, 

et, lorsque ladite connexion d'origine est sortante, c'est-a-dire initiee par ladite 
premiere extr6mit£ du premier reseau, lesdits jeux de paramfctres d'origine et transposes 
s'^crivent respectivement : 

ppur ladite premidre entr6e : J 0j = {IPa, Pa, IPb, Pb, proto} et J u = {IPv, Pv, 
IPb, Pb, proto}, 

pour ladite seconde entree : J 0>2 = {IPb, Pb, IPv, Pv, proto} et J u = {IPb, Pb, 
IPa, Pa, proto}, 

les parametres IPa, Pa, IPb, Pb et proto etant lus dans les champs respectivement 
"adresse DP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les param&tres IPv, Pv et proto definisant une extremite virtuelle, IPv etant ladite adresse 
IP normalisee intermediate et unique, et Pv etant un port dont la valeur est calculee en 
dynamique, de fa?on qu'il n'existe aucune autre connexion de la table de conversion 
poss&lant le mSme couple (IPv, Pv). 

Toutes les extremites virtuelles (IPv, Pv, proto) possddent une meme adresse BP 
normalisee : c'est P adresse unique (IPv) du reseau prive dans le reseau normalise. En 
revanche, elles se distinguent les unes des autres par la valeur des deux autres 
parametres, a savoir le port et le protocols 

Preferentiellement, dans ce premier mode de realisation, lorsque ladite connexion 
d'origine est entrante, c'est-a-dire initiee par ladite seconde extremite du second reseau, 
lesdits jeux de parametres d'origine et transposes s'ecrivent respectivement : 

pour ladite premiere entree : J 0> , = {IPb, Pb, IPv, Pv, proto} et J u = {IPb, Pb, 
IPa, Pa, proto}, 

pour ladite seconde entree : J o 2 = {IPa, Pa, IPb, Pb, proto} et J tf2 = {IPv, Pv, 
IPb, Pb, proto}, 
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les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto defmisant une extremite virtuelle, IPv etant ladite adresse 
5 IP normalisee intermediate et unique, ou bien, au choix de P administrates, une adresse 

IP choisie dans la plage d'adresses normalisees attribute au site a connecter, et Pv etant 
un port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve, grace au couple de parametres (IPv, 

Pv), par lecture d'une table de correspondance statique associant de fagon bijective k 
10 chaque couple de parametres (IPa, Pa) parmi une pluralite predetermine un couple de 

parametres (IPv, Pv) distinct. 

Dans un second mode de realisation avantageux du procede de Finvention, ladite 

etape de creation et d'ajout dans ladite table de conversion d'un nouveau couple 

(connexion d'origine, connexion transpose) consiste a creer dans ladite table de 
15 conversion une unique entree associee a un jeu combine de parametres d'origine et 

transposes J c = {ipo, po> ipi. Pi> ip2, P2, proto), 

et, lorsque ladite connexion d'origine est sortante, c'est-a-dire initiee par ladite 

premiere extremite du premier reseau, ledit jeu combine de parametres d'origine et 

transposes s'ecrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto), 
20 les parametres IPa, Pa, IPb, Pb et proto etant lus dans les champs respectivement 

"adresse IP source", "port source", "adresse IP destination", "port destination", et 

"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto defmisant une extremite virtuelle, IPv etant ladite adresse 
IP normalisee intermediate et unique, et Pv etant un port dont la valeur est calculee en 
25 dynamique, de fa?on qu'il n'existe aucune autre connexion de la table de conversion 

possedant le meme couple (IPv, Pv). 

Le calcul du paramfctre Pv est dynamique et ne peut avoir lieu que sur des 
connexions sortantes. 

Preferentiellement, lorsque ladite connexion d'origine est entrante, c'est-a-dire 
30 initiee par ladite seconde extremite du second reseau, ledit jeu combine de parametres 
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cforigine et transposes s'ecrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}, 

les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 

"adresse IP source**, "port source", "adresse IP destination", "port destination", et 

"protocole de transport" dudit paquet, ou bien, au choix de I' administrates, une adresse 

IP choisie dans la plage d'adresses normalises attribute au site a connecter. 

les parametres IPv, Pv et proto definisant une extremite virtuelle, IPv etant ladite adresse 

DP normalise interm^diaire et unique, et Pv etant un port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve, grace au couple de parametres (IPv, 

Pv), par lecture d'une table de correspondance statique associant de fafon bijective k 

chaque couple de parametres (IPa, Pa) parmi une pluralite predetermine un couple de 

parametres (IPv, Pv) distinct. 

Ainsi, il est possible, pour les connexions entrantes, d'effectuer une conversion 
"statique", la recherche du couple de parametres (Ipa, Pa) etant effectuee parmi un 
ensemble de couple predetermine. 

Avantageusement, dans le cas du premier mode de realisation, pour chaque 
paquet sortant, ladite etape de modification du paquet consiste h remplacer le contenu des 
champs "adresse IP source" et "port source" du paquet par les parametres correspondants 
ip_src' et p_src* dudit jeu de parametres transposes J t d'identification de la connexion 
transposee, 

et, pour chaque paquet entrant, ladite etape de modification du paquet consiste a 
remplacer le contenu des champs "adresse IP destination" et "port destination" du paquet 
par les parametres correspondants ip_dst' et p_dst' dudit jeu de parametres transposes J t 
d* identification de la connexion transposee. 

Ainsi, vu de la premiere extremite du premier reseau, il existe une connexion entre 
cette premiere extremite et la seconde extremite du second reseau. En revanche, vu de la 
seconde extremite du second reseau, il existe une connexion entre cette seconde extremite 
et une extremite virtuelle du second reseau (et non pas la premiere extremite du premier 
reseau). 

Avantageusement, dans le cas du second mode de realisation, pour chaque paquet 
sortant, ladite etape de modification du paquet consiste a remplacer le contenu des champs 
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"adresse IP source" et "port source" du paquet par les paramfctres ip2 et p2 dudit jeu 
combing de paramfcties d'origine et transposes J c , 

et, pour chaque paquet entrant, ladite etape de modification du paquet consiste k 
remplacer le contenu des champs "adresse IP destination" et "port destination" du paquet 
5 par les paramfctres ipo et po dudit jeu combine de param&tres d'origine et transposes J c . 

Preferentiellement, ladite table de conversion est mise a jour de fa$on dynamique 
selon une strategic predeterminee de mise a jour. Ainsi, la taille memoire de la table de 
conversion peut 6tre limitee et retape de recherche d'une connexion d'origine dans la 
table, si elle existe,peut 6tre effectufc plus rapidement. 
1 0 Plusieurs strategies de mise h jour peu vent etre envisagees. 

Dans un mode de realisation avantageux de 1'invention, ladite strategic 
predeterminee de mise h jour consiste h ne laisser chaque couple de connexions d'origine 
et transpos£e inscrit dans la table de conversion qu'entre un instant de debut et un instant 
de fin de vie de ladite connexion d'origine. En d'autres termes, une connexion est otee de 
1 5 la table de conversion dbs que sa duree de vie s'est ecouiee. 

De fagon avantageuse, dans le cas d'une connexion utilisant le protocole TCP, 
lesdits instants de debut et de fin de vie de la connexion d'origine sont determines en se 
referant au diagramme d'etat d'une session TCP, selon la specification TCP (RFC 793). 
Avantageusement, dans le cas d'une connexion utilisant le protocole UDP, ledit 
20 instant de debut de vie de la connexion d'origine est determine par le passage, dans un 

sens donne, d'un paquet de requgte, et en ce que ledit instant de fin de vie est determine 
par le passage, dans le sens inverse dudit sens donne, d'un paquet de reponse. 

Ainsi, meme si cela peut sembler contradictoire avec le principe meme d'UDP, on 
introduit selon 1'invention une notion de connexion UDP. En effet, le protocole UDP est 
25 par principe "non connecte". 

En fait, une analyse des applications utilisant le protocole UDP permet de les 
classer en deux grandes categories : 

les applications utilisant la diffusion multiple (broadcast en anglo-saxon). 
Ces applications n'ont en general qu'une utilite locale. Elles peuvent done 
30 etre supprimees sans inconvenient au niveau d'un dispositif de 
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raccordement inter-r&eaux ; 

les applications du type requete/reponse. Un paquet UDP est emis vers 
une machine et un port particulier et contient une requete. A la destination 
se trouve un serveur qui analyse le paquet re?u et renvoie une reponse, 
elle-meme encapsulee dans un paquet UDP. Quelques exemples 
duplications de ce type : Serveur d'horloge, Serveur de noms (DNS)... 
Ce dernier type ^application permet de retrouver 1'idge de connexion. Au niveau 
d'un dispositif de raccordement inter-r£seaux, une connexion commence d'exister 
lorsque passe un paquet UDP n'appartenant a aucune connexion repSree et se termine 
lorsque passe en sens inverse un paquet de reponse. 

Comme le principe de l'invention consiste a appliquer une translation d'adresses a 
chaque connexion, le fait de definir des "connexions UDP" permet de rendre le proc6d£ 
de Finvention applicable au protocole UDP. 

Selon une variante avantageuse, dans le cas d'une connexion utilisant le protocole 
UDP, ledit instant de debut de vie de la connexion d'origine est determine par le passage, 
dans un sens donne, d'un paquet de requete, et en ce que ledit instant de fin de vie est 
determine par I'&roulement d'une dur6e prddeterminee depuis ledit instant de debut de 
vie. 

Afin de supporter un maximum d' applications pr&entes et futures, on peut affiner 
ce mgcanisme de detection des connexions en offrant une possibility de param^trage par 
l'utilisateur de ce qui va determiner la fin de la connexion : un ou plusieurs paquets de 
r£ponse, ou bien 1'expiration d'une temporisation armee par la requete. De meme, il est 
possible de param<§trer la possibility d'avoir plusieurs requetes au travers de la meme 
connexion. Tous ces param&rages peuvent bien sur etre definissables en fonction de 
l'application (determinee par le port destination du paquet initialisant la connexion). 

Dans un mode de realisation pr£ferentiel de l'invention, le procede comprend une 
etape de filtrage des paquets sortants en fonction du contenu d'un des champs appartenant 
au groupe comprenant les champs "adresse IP source", "adresse IP destination" et "port 
destination". 

L'invention concerne egalement un dispositif d'interconnexion de reseaux mettant 
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chacun en oeuvre la technologie internet, du type destin6 a etre ins6r6 entre un premier 
r&eau presentant un adressage IP priv6 et un second r&eau presentant un adressage IP 
normalise, lesdits premier et second r£seaux v&iiculant des paquets, chacun desdits 
paquets comportant un en-tete IP comprenant notamment un champ "adresse IP source" 
et un champ "adresse IP destination", les paquets 6tant dits sortants s'ils se ddplacent du 
premier vers le second r6seau a travers ledit dispositif et entrants dans le cas contraire, 

ledit dispositif possedant une adresse IP normalise interm&liaire et unique dans 
ledit second reseau, et comprenant notamment : 

des premiers moyens de conversion des adresses IP privees contenues dans les 
champs "adresse IP source" des paquets sortants, de fagon que ledit champ "adresse IP 
source" de chacun desdits paquets sortants contienne, aprfcs conversion, ladite adresse IP 
normalisee intermediaire et unique ; et 

des seconds moyens de conversion de F adresse IP normalisee intermediaire et 
unique contenue dans les champs "adresse IP destination" des paquets entrants, de fafon 
que ledit champ "adresse IP destination" de chacun desdits paquets entrants contienne, 
apres conversion, une des adresses privies du premier reseau. 

Avantageusement, chacun desdits paquets comportant un en-tete TCP ou UDP 
comprenant notamment un champ "port source" et un champ "port destination", ledit en- 
tete IP comprenant en outre un champ "protocole de transport" indiquant le protocole 
TCP ou UDP utilise, 

lesdits premiers et seconds moyens de conversion d'adresse comprennent : 

des moyens de reception et de stockage d'un paquet ; 

des moyens de lecture d'un paquet re?u et stocke, permettant d'identifier une 
connexion d'origine emprunt£e par ledit paquet, par la connaissance d'un jeu de 
param£tres d'identification qui sont les contenus des champs "adresse IP source", 
"adresse IP destination", "port source", "port destination", et "protocole de transport" du 
paquet re?u et stocke ; 

au moins une table de conversion, associant une connexion transpose distincte a 
chaque connexion d'origine, chacune desdites connexion d'origine ou transposee etant 
identifiee par un jeu distinct de parametres d'identification ; 
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des moyens de lecture de ladite table de transposition, permettant de lire le jeu de 
paramfctres d' identification de la connexion transposee associee a la connexion d'origine 
empruntee par le paquet requ et stocke ; 

des moyens de modification dudit paquet requ et stockd permettant de substituer le 
jeu de parametres d'identification de la connexion transpose au jeu de paramfetres 
d'identification contenus dans le paquet regu et stockd, de fagon k remplacer la connexion 
d'origine par la connexion transposee qui Iui est associee dans la table de conversion. 

L'invention concerne aussi un routeur IP d'interconnexion de reseaux, caract&isS 
en ce qu'il comprend un dispositif presentant les caracteristiques pr6cit&s, ladite adresse 
IP normalis6e intermddiaire et unique etant Fadresse P normalisee de raccordement dudit 
routeur IP audit second reseau. 

D'autres caracteristiques et avantages de l'invention apparaitront k la lecture de la 
description suivante d'un mode de realisation prSfdrentiel de l'invention, donnee k titre 
d'exemple indicatif et non limitatif, et des dessins annexes, dans lesquels : 

la figure 1 illustre le principe general du proc^de d' interconnexion de 
reseaux selon l'invention ; 

la figure 2 presente la structure connue d'un paquet TCP/IP ; 

la figure 3 presente la structure connue d'un en-tete IP ; 

la figure 4 presente la structure connue d'un en-tete TCP ; 

la figure 5 presente la structure connue d'un en-tete UDP ; 

la figure 6 illustre une transposition de connexion telle que realist par le 

proc&te de l'invention ; 

la figure 7 presente un organigramme d'un mode de realisation particulier 
du proc6d6 de l'invention ; 

les figures 8 et 9 presentent chacune en detail l'une des Stapes de 
rorganigramme de la figure 7 ; 

la figure 10 est un schema synoptique simplify d'un dispositif 
d'interconnexion de reseaux selon l'invention ; 

la figure 1 1 est un exemple de realisation de la table de connexion 
comprise dans le dispositif de la figure 10 ; et 
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la figure 12 illustre un exemple cF application du procgde et du dispositif 
de rinvention. 

L' invention concerne done un proc^de et un dispositif d* interconnexion de deux 
reseaux mettant chacun en oeuvre la technologie internet (ou technologie TCP/IP). 
Comme illustre sur la figure 1, il s'agit d'interconnecter : 

un premier reseau 1 presentant un adressage IP prive ; et 
un second rfeeau 2 presentant un adressage TP normalise. 
L* interconnexion des deux reseaux 1, 2 consiste notamment h effectuer une 
conversion d'adresse 3. 

Le second reseau 2 est par exemple le r6seau mondial Internet. Le premier reseau 
1 est par exemple un reseau local d'entreprise dont Tadressage a ete defini en dehors de 
Tautorite globale pour T attribution des adresses. 

Le terme "prive" qualifiant 1' adressage IP du premier reseau 1 s'entend ici comme 
Tinverse de "normalise. 

La technologie connue internet est bas6e sur une suite de protocoles dont les plus 
importants sont IP, TCP et UDP. 

Le protocole IP (pour Internet Protocol en anglo-saxon) est le protocole de base 
de ia technologie internet. II a pour simple fonction de transferer un paquet de donnees 
(e'est-a-dire un ensemble d'octets) d'une machine a une autre. 

Le protocole TCP (pour Transmission Control Protocol en anglo-saxon) s'appuie 
sur le protocole IP et a pour objet d'assurer une communication en mode connecte, e'est- 
a-dire d' assurer un circuit virtuel entre deux applications situees sur des machines 
distinctes. Pour cela, le protocole TCP doit assurer la fiabilite des transmissions, 
Fordonnancement et le contrdle de flux. Le flux de donnees envoy 6 par une application 
est done segmente en paquets. A chacun de ces paquets est ajoute un en-tete TCP (dont la 
structure est presentee sur la figure 4). Chaque paquet ainsi complete est ensuite confie au 
protocole IP qui y ajoute son propre en-tete IP (dont la structure est presentee sur la 
figure 3). 

Le protocole UDP (pour User Datagram Protocol en anglo-saxon) s'appuie 
6galement sur le protocole IP et a pour objet d' assurer une communication en mode non 
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connecte. Le choix du protocole UDP correspond aux applications reposant sur un trafic 
faible ou sur des ^changes du type "question-reponse". 

Le protocole UDP ajoute un en-tete (dont la structure est presentee sur la figure 5) 
aux donnees h transmettre. Ce paquet est ensuite confie au protocole IP qui y ajoute son 
propre en-tete IP. 

Les paquets ont done construits selon un principe decapsulations successives : 
on ajoute aux domtees un en-tete TCP ou UDP, de fagon h former un 
paquet TCP ou UDP ; puis 
on ajoute au paquet TCP ou UDP un en-t6te IP. 
La figure 2 presente la structure connue d'un paquet TCP/IP 21. La structure 
connue d'un paquet UDP/IP se deduit facilement de la pr6c6dente par remplacement de 
Ten-tete TCP par un en-tSte UDP. 

L'en-tete IP 31 dont la structure connue est presentee sur la figure 3, comprend 
notamment : 

un champ "protocole" 32 definissant le protocole utilisd, par exemple TCP 
ou UDP. En effet, les donnees que v6hicule un paquet IP sont en fait des 
unites de protocole d'un niveau superieur (principe d'encapsulation) ; 
un champ "adresse IP source" 33 et un champ "adresse IP destination" 34 
definissant l'adresse IP &nettrice et l'adresse IP de la machine destinatrice 
respectivement. 

Le protocole IP permet d'envoyer des donnees d'une machine k une autre. 
Comme ces machines sont ggneralement multi-application, il est necessaire de fourair un 
moyen d'identifier les applications qui desirent communiquer entre elles. Ceci est fait par 
les protocoles TCP et UDP, en introduisant le notion de "port". En effet, les en-tetes TCP 
41 et UDP 51, dont les structures connues sont presentees sur les figures 4 et 5 
respectivement, comprennent notamment un champ "port source" 42, 52 et un champ 
"port destination" 43, 53. 

Le champ "port destination" 43, 53 permet de selectionner V application souhaitee 
parmi celles supportees par la machine destinatrice, e'est-ik-dire celle dont l'adresse IP est 
d<£finie par le champ "adresse IP destination" 34 de r en-tete IP 31/ 
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Le procdde d' interconnexion de rdseaux de 1'invention est bas6 sur une analyse 
des connexions utilises par les paquets. Selon Tinvention, la notion de connexion, qui 
s' applique gSneralement uniquement au protocole TCP, est g6n6ralisee de fa?on k 
s'appliquer egalement au protocole UDP. 

On appelle extr&nitS de reseau une entity logicielle (par exemple une application) 
pouvant etre d£crite par les trois paramfctres suivants : une adresse IP, un port et un 
protocole (TCP ou UDP). 

On appelle connexion un lien logique entre deux extr6mit<Ss de r&eau, Tune 6tant 
cliente et r autre serveur. Une extremis peut faire partie de plusieurs connexions 
differentes. Une fois inittee, une connexion est un chemin de communication permettant 
des echanges de donnees bidirectionnels. 

La connexion entre les deux extr6mites A = {IPa, Pa, proto} et B = {IPb, Pb, 
proto} peut etre designee, de fa9on unique par les cinq parametres suivants : 
IPa : r adresse IP de la premiere extr€mit£ A ; 
IPb : V adresse IP de la seconde extremity B ; 
Pa : le port de la premiere extremite A ; 
Pb : le port de la seconde extremite B ; 
proto : le protocole de la connexion (TCP ou UDP). 
Par la suite, on note la connexion C A b de la fa?on suivante : C AB = {IPa, Pa, IPb, 
Pb, proto}. 

On considers dans la suite de la description que V extremite A = {IPa, Pa, proto} 
est situde dans le premier reseau 1 & adressage IP prive et que l'extr6mit<S B = {IPb, Pb, 
proto} est situSe dans le second reseau 2 k adressage IP normalise. En d'autres termes, 
l'adresse IPa est une adresse privee alors que l'adresse IPb est une adresse normalises 

On appelle paquets sortants les paquets se depla?ants du premier reseau 1 vers le 
second reseau 2, et paquets entrants les paquets se deplacant dans le sens inverse. 

Le principe general de I' invention est de modifier les paquets transmis entre les 
premier et second reseaux 1, 2, de fa?on que : 

pour chaque paquet sortant, l'adresse IP privee contenue dans le champ 
"adresse IP source" 33 soit remplacee par une adresse IP normalisee 
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intenn&iiaire et unique, not6e IPv (k noter que le principe dgfini ici est vrai 
pour les connexions sortantes. Pour les connexions entrantes, IPv n'est 
pas forc6ment unique) ; 

pour chaque paquet entrant, 1' adresse IPv contenue dans le champ 
"adresse IP destination" soit remplacde par Fadresse IP privee adequate. 
Ainsi, aprds modification, tous les paquets sortants possfcdent une meme adresse 
IP source, k savoir IPv. De mgme, avant modification, tous les paquets entrants 
possfcdent une m§me adresse IP destination, k savoir IPv. Par consequent, une seule 
adresse IP normalisee suffit pour raccorder tout le premier reseau 1 a adressage priv6 au 
second reseau 2 a adressage normalise. 

En termes de connexions, le precede de Tinvention consiste a deporter Fextremite 
A de la connexion C A b sur une extremis virtuelle V. En d'autres termes, comme illustre 
sur la figure 6, on realise au point V une transposition de la connexion Cab en une 
connexion virtuelle C V b. La transposition de Cab en Cvb est effectuee : 

pour les paquets sortants, en remplagant les parametres source IPa et Pa 
de C A b par les parametres source IPv et Pv de Cvb ; 
pour les paquets entrants,en rempla?ant les parametres destination IPv et 
Pv de Cvb par les parametres destination IPa et Pa de C A b- 
Le fonctionnement du procede de r invention repose sur le maintien d'une table de 
conversion, associant a chaque connexion d'origine utilisee sa connexion transposes 

Le fonctionnement d'un mode de realisation particulier du procede de Tinvention 
est maintenant presente en relation avec les organigrammes des figure 7, 8 et 9. 

L'organigramme de la figure 7 presente Tensemble du traitement (70) effectue sur 
chaque paquet. 

Tout d'abord, on verifie (71) que les totaux de controle 34, 44, 54 (ou 
checksums, en anglo-saxon) des en-tetes IP et TCP ou UDP (cf figure 3, 4, et 5) sont 
corrects. S'ils ne le sont pas, le paquet est elimine (72). Sinon, les parametres { ip_src, 
p_src, ip_dst, p_dst, proto} sont extraits (73) du paquet, de fa?on k identifier la 
connexion d'origine C correspondant a ces parametres. 

On cherche ensuite (74) s'il existe une entree de la table de conversion 
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correspondant a cette conversion d'origine C. S'ii n'en existe pas, on regarde (75) si le 
paquet est coherent et peut-etre un d6but de connexion d'origine. Si c'est le cas, 
renregistrement (76) de cette connexion d'origine et de sa connexion transposee assoctee 
est effects (cf explication detailtee par la suite, en relation avec la figure 8). Si ce n'est 
pas le cas, le paquet est elimin6 (72). 

AprSs enregistrement (76) ou si la connexion d'origine etait d6fi enregistrge 
(c'est-^dire s'il existe une entree correspondante), le paquet est modifie (77) (cf 
explication d6taillee par la suite, en relation avec la figure 9), puis le paquet est acheminS 
(78). 

Enfin, si la connexion d'origine est terminee (79), les deux entrees correspondant 
a cette connexio d'origine sont otees (710) de la table des connexions. 

On explique maintenant en detail, en relation avec la figure 8, l'6tape 76 
d'enregistrement de la connexion d'origine et de sa connexion transposee associee. 

Cette 6tape (76) consiste a creer dans ladite table de conversion une premiere et 
une seconde entree associant chacune un jeu de paramfctres d'origine J D = {ip_src, p_src, 
ip_dst, p_dst, p_proto) k un jeu de parametres transposes J t = (ip_src\ p_src', ip_dst\ 
p_dst', p_proto'}. 

On distingue deux cas, selon que la connexion d'origine est entrante, c'est-a-dire 
initiee par une extr&nite (A par exemple dans la suite de la description) du premier r6seau 
1, ou sortante, c'est-a-dire initiee par une extremity (B par exemple dans la suite de la 
description) du second reseau 2. 

Si la connexion d'origine est sortante, par exemple de A vers B, on effectue les 
etapes suivantes : 

calcul (83) de IPV et PV pour former C V b ; 

enregistrement (84) d'une premiere et d'une seconde entrees associant les 
jeux de paramfetres d'origine et transposes suivants : 

* pour ladite premiere entree : 

J 0 j = {IPa, Pa, IPb, Pb, proto} et J u = {IPv, Pv, IPb, Pb, proto}, 

* pour ladite seconde entree : 

Jo,2 = {IPb, Pb, IPv, Pv, proto) et J t?2 = {IPb, Pb, IPa, Pa, proto). 
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Ces quatre jeux de paramfetres J 0 j , J t j , J 0 , 2 et J tt2 sont illustres sur la figure 1 1 
qui pr^sente un mode de realisation particulier d'une table de conversion utilisee dans la 
mise en oeuvre du proc£d£ de 1' invention. 

La seconde entree est destin£e k fitre utilisee lors du traitement des paquets de 

retour. 

Les paramfctres IPa, Pa, IPb, Pb et proto sont lus dans les champs respectivement 
"adresse IP source'*, "port source", "adresse IP destination", "port destination", et 
"protocole de transport" du paquet. 

Les parametres IPv, Pv et proto d6finissent une extremite virtuelle V, IPv etant 
1'adresse IP normalise intermediaire et unique. La valeur du port Pv est calculee (83) en 
dynamiqu, de fa9on qu'il n'existe aucune autre connexion de la table de conversion 
possedant le meme couple (IPv, Pv). 

Si la connexion d'origine est entrante, par exemple de B vers V, on effectue les 
etapes suivantes : 

recherche (82) de IPa et Pa, si le couple (IPv, Pv) est tel qu'il existe une 
extr£mit6 A d£port€e (par exemple une application donnee sur un serveur 
deporte du r&eau prive) (81) ; 

enregistrement (84) d'une premiere et d'une seconde entrees associant les 
jeux de paramfetres d'origine et transposes suivants : 

* pour ladite premifere entree : 

Joj = {IPb, Pb, IPv, Pv, proto} et J u = {IPb, Pb, IPa, Pa, proto}, 

* pour ladite seconde entree : 

Jo,2 = {IPa, Pa, IPb, Pb, proto} et J t>2 = {IPv, Pv, IPb, Pb, proto}. 
La seconde entree est destinee h etre utilisee lors du traitement des paquets de 

retour. 

Les parametres IPv, Pv et proto defmissent une extr6mite virtuelle V, IPv &ant 
T adresse IP normalise intermediaire et unique, ou bien, au choix de Padministrateur, 
une adresse IP choisie dans la plage d'adresses normalisees attribute au site a connecter, 
et Pv etant un port pr6d£termin6. 

Le couple de parametres (IPa, Pa) est trouve (82), grace au couple de parametres 
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(IPv, Pv), par lecture d*une table de correspondance statique associant de fagon bijective 
k chaque couple de parametres (IPa, Pa) paraii une pluralite pr&leterminee un couple de 
param&tres (IPv, Pv) distinct. 

II est a noter que dans une mode de realisation simplify du proc6d6 de 
l'invention, les connexions entrantes sont rejet£es par principe. Ainsi, grace au 
connexions sortantes, les machines du reseau priv6 1 ont acces aux ressources 
disponibles, sur le reseau normalise 2, mais les machines du reseau normalise 2 n'ont pas 
acces aux "ressources" du reseau privd 1 (dissym6trie du principe de translation 
d'adresse). 

On explique maintenant en detail, en relation avec la figure 9, Tetape 77 de 
modification du paquet. 

On examine (91) le protocole de a connexion d'origine, de fa?on a savoir si celle- 
ci se termine. Si elle se termine, on arme (92) un temporisateur de liberation de connexion 
(on libere alors les entrees correspondant h cette connexion d'origine) et crees 
simultandment (cf figure 8)). Apres cet armement (92) ou si la connexion d'origine ne se 
termine pas, on effectue les modifications. 

Pour effectuer ces modifications, on distingue deux cas, selon que le paquet est 
sortant ou entrant. 

Si le paquet est sortant, la transposition de connexion est realisee au rempla9ant 

(93) , dans le champ "adresse Ip source" du paquet, IPa par IPv, et dans le champ "port 
source" du paquet, Pa par Pv. 

Si le paquet est entrant, la transposition de connexion est rSalisSe en rempla9ant 

(94) , dans le champ "adresse IP destination" du paquet , IPv par IPa, et dans le champ 
"port destination" du paquet, Pv par Pa. 

Le paquet ainsi modifie subit une etape 95 de "traitement particulier connexion", 
consistant a gerer les particularites liees a certains protocoles applicatifs, comme FTP, rep 
et rch. Ces particularites et leur traitement sont definies plus loin dans ce document. 

Enfin, les totaux de controle (checksums) des en-tStes IP et TCP ou UDP sont 
recalcules (96). 

Dans le premier mode de realisation du procede de l'invention present^ ci-dessus, 
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pour chaque couple (connexion d'origine, connexion transpos£e), on cree deux entrees 
dans la table (une pour chaque sens de paquet) et le traitement, du point de vue lecture 
dans la table, est identique pour les paquets sortants et la paquets entrants. 

On pr6sente maintenant un second mode de realisation du proc&te de l'invention, 
dans lequel, pour chaque couple (connexion d'origine, connexion transposee), on cr^e 
une seule entree dans la table et le traitement, du point de vue lecture dans la table, est 
different selon que les paquets sont sortants ou entrants. 

Dans ce second mode de realisation, l'etape de creation et d'ajout dans Jadite table 
de conversion d'un nouveau couple (connexion d'origine, connexion transposee) 
consiste a creer dans la table de conversion une unique entree associee a un jeu combine 
de parametres d'origine et transposes J c = {ip 0 , po, ipi, pj, ip2, P2» proto}. 

Lorsque ladite connexion d'origine est sortante, le jeu combing de parametres 
d'origine et transposes s'6crit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}. Les parametres 
IPa, Pa, IPb, Pb et proto sont lus dans les champs respectivement "adresse IP source**, 
"port source", "adresse IP destination", "port destination", et "protocole de transport" du 
paquet. Les parametres IPv, Pv et proto definissent une extremite virtuelle V, IPv etant 
Fadresse IP normalisee intermediate et unique et Pv etant un port dont la valeur est 
calculee en dynamique. 

Lorsque la connexion d'origine est entrante, le jeu combine de parametres 
d'origine et transposes s'ecrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}. Les parametres 
IPb, Pb, IPv, Pv et proto sont lus dans les champs respectivement "adresse IP source", 
"port source", "adresse IP destination", "port destination", et "protocole de transport" du 
paquet. Les parametres IPv, Pv et proto definissent une extrgmite virtuelle V, IPv etant 
l'adresse IP normalisee intermediaire et unique, ou bien, au choix de 1'administrateur, 
une adresse IP choisie dans la plage d'adresses normalisees attribute au site a connecter, 
et Pv 6tant un port predetermine. Le couple de parametres (IPa, Pa) etant trouve associe 
de fa?on statique & un couple predetermine de parametres (IPv, Pv) distinct. 

Dans ce second mode de realisation, pour chaque paquet sortant, l'etape de 
modification du paquet consiste k remplacer le contenu des champs "adresse IP source" et 
"port source" du paquet par les parametres ip2 et p 2 du jeu combine de parametres 
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d'origine et transposes J c . Pour chaque paquet entrant, 1'Stape de modification du paquet 
consiste & remplacer le contenu des champs "adresse IP destination" et "port destination" 
du paquet par ]es parametres ipo et po du jeu combine de parametres d'origine et 
transposes J c . 

D'une fagon generate, une connexion peut gtrc : 

soit utilis£e, si au moins un paquet coherent a ete ^change entre les deux 
extremites et si l'on ne peut pas assurer qu'il ne passera plus d'autre 
paquet coherent pour cette connexion ; 
soit libre, si aucun paquet n'a transit^ entre les deux extremites. 
Le fonctionnement des deux modes de realisation du procede de Tinvention 
presentes ci-dessus repose sur le maintien d'une table des connexions utilis6e (c'est-a- 
dire sur la suppression des connexions qui redeviennent libres). II faut done determiner 
les instants de debut et de fin de vie de chaque connexion enregistree dans la table de 
conversion. 

Pour les connexions dont le protocole est TCP, ces instants de debut et de fin de 
vie de la connexion sont par exemple determines en se referant au diagramme d'etat d'une 
session TCP, selon la specification TCP (RFC 793). On se basera notamment sur le 
champ "drapeaux" de l'en-tete TCP et particulierement sur les bits SYN pour le debut de 
la connexion et FIN pour la fin de celle-ci. On pourra prevoir aussi un temporisateur de 
securite, arme par le passage d'un paquet avec le bit FIN et supprimant la connexion au 
bout d'un certain temps d'inactivite, ceci pour resoudre le cas d'une deconnexion initiee, 
mais non parvenue h terme, cas possible, par exemple, avec une extr£mite devenue 
inactive, done incapable de participer k la cldture de la connexion. 

Pour les connexions dont le protocole est UDP, on peut definir F instant de d6but 
de vie de la connexion par le passage, dans un sens donne, d'un paquet de requete, et 
T instant de fin de vie de la connexion par le passage, dans Fautre sens, d'un paquet de 
reponse. 

Selon une variante, on ddfinit l'instant de fin de vie par ecoulement d'une dur£e 
predeterminee depuis l'instant de debut de vie. 

On peut imaginer d'autres variantes selon lesquelles l'instant de fin de vie de la 



WO 97/05727 



PCI7FR96/01179 



24 

connexion, dans le cas UDP, est fonction de difterents critferes (nombre de paquets, 
expiration d'une duree pred6termin6e,»..). ces entires 6tant bien sur parametrables par 
type de connexion- 
Dans un mode de realisation particulier, on peut s'affranchir de la n^cessite de 
determiner le d€but et la fin de connexion en utilisant le principe suivant : 

une connexion est cr66e lorsque apparait un nouveau paquet n'appartenant 
a aucune connexion existante ; 

on maintient constamment une variable definissant Fheure du dernier 
paquet ayant transite sur cette connexion ; 

la fin de la connexion n*6tant pas detectee, celle-ci restera dans la table 
alors qu'elle n'aplus d'existence ; 

le numero de port garantissant Funicite etant cod6 sur 2 octets, soit 65535 
valeurs possibles, la table va th^oriquement arriver k saturation lorsque 
65535 connexions auront ete effectuees, 

on procedera alors k la suppression de la table de F entree correspondant k 
la connexion dont la variable notant Fheure du dernier paquet est la plus 
ancienne. 

En pratique, afin de limiter Poccupation memoire, on procedera k cette 
suppression a partir d*un nombre de connexions simultanees dgfini par Fadministrateur 
du systeme. 

Optionnellement, le traitement de chaque paquet peut comprendre une etape de 
filtrage des paquets, en fonction du contenu d'au moins un des champs suivants : 
"adresse IP source", "adresse IP destination" et "port destination". Ainsi, on peut limiter 
le nombre de station du reseau prive 1 ayant acces au reseau normalise 2, ou bien limiter 
cet acc&s k certaines applications. 

La figure 12 illustre un exemple d'application du proc&le de Finvention. 

Si on considere que Fextr6mit6 A est sur un r6seau prive Rl, que Fextremite B est 
sur un reseau "normalise" R2, par exemple Internet, et que le point V est sur un canal de 
passage inconsumable entre les deux r£seaux Rl et R2, on realise Fapplication 
recherchee de Finvention : on rend possible une connexion d'un site prive avec un site 
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d'un r6seau normalise, sans modifier les adresses du rgseau prive. 

En reference k la figure 12, r extremite A est par exemple un client telnet sur la 
machine Ml : A ={IPml, Pn, TCP}; oii IPml est l'adresse IP de la machine Ml, Pn est 
un port client d6termin<5 de la machine Ml, et TCP est le protocole TCP. L'extremte B 
est par exemple un serveur telnet de la machine M2 : B = {IPm2, 23, TCP} ; 23 etant le 
port connu TCP du serveur telnet. Le tout forme la connexion C ={IPml, Pn, IPm2, 23, 
TCP}. 

Le reseau Rl est un reseau prive dont les routes par ddfaut vont vers le reseau R2. 
Le reseau R2 ne connait pas l'existence de Rl. Le procede de l'invention est mis en 
oeuvre dans la machine ou passerelle P. Cette passerelle P est connectee aux deux 
reseaux, a l'adresse privee IPrl pour Rl, a l'adresse normalisee IPr2 pour R2. 

Dans ces conditions, la connexion C ne peut fonctionner, car les paquets circulent 
bien dans le sens Ml vers M2, mais ne peuvent pas revenir vers Ml car le reseau Rl est 
inconnu des machines situees vers le reseau R2. 

Si la passerelle P exploite le proc&Ie de l'invention, on peut transposer au point V 
la connexion C en une connexion C2 en rempla9ant l'extremite A par une extremite 
virtuelle VA telle que VA soit sur le reseau R2 et que C2 transite par le point V. Pour 
satisfaire cette condition, la solution est de substituer IPml par IPr2 dans les paquets 
transitant par la passerelle P. Done on peut transposer C en C2 = {IPr2, Pn, IPm2, 23, 
TCP}. Le proc€d6 requiert 6galement que C2 soit libre, e'est-a-dire qu'au point V, on 
aura pris soin de noter toutes les connexions qui y transitent, de fagon k verifier qu'il n'y 
ait pas de client telnet avec le m§me port Pn vers la meme destination (extremite B). Si 
cela etait le cas, on transformerait VA en {IPr2, Pm, TCP}, Pm etant un port TCP 
inutilise de la passerelle P. 

La translation des adresses et des ports dans les paquets IP est generalement 
transparente pour les applications TCP/IP. Seules trois applications particulieres 
ndcessitent un traitement sp&ifique, h savoir FTP (pour File Transfer Protocol en anglo- 
saxon), RCP (pour Remote copy (Transfert de fichiers) en anglo-saxon) et RSH (pour 
Remote Shell (Execution a distance) en anglo-saxon). 

L'application FTP permet le transfert de fichier d'une machine k une autre. Le 
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protocole FTP est ctefini selon la specification TCP, par le RFC 959. Ce protocole offre 
la particularity d'utiliser par session utilisateur une connexion TCP pour les commandes 
et d'y ajouter une autre connexion TCP pour les donn&s du fichier en cours de transfers 

Cette autre connexion, pour les donnges, est 6tablie par le serveur. Done, elle 
apparait comme connexion entrante pour le dispositif mettant en oeuvre le proc&I6 de 
1' invention, qui, par defaut, refuse ce type de connexion. 

Une solution est done de d6tecter les connexions de commande FTP. Ce qui se 
fait en examinant le port destination qui, pour cette application est fixe k 21. A chaque 
connexion de commande FTP, on va done adjoindre une entree dans la table de 
conversion d'origine. Cette conversion va etre determinee en examinant les commandes 
transitant sur le canal. Le client FTP envoie une commande PORT ayant pour paramfetre 
T adresse IP et le numero de port sur lequel doit etre etablie la connexion. Ces parametres 
doivent etre translates suivant le principe dgcrit prec6demment : remplacement de 
Tadresse IP source privee par Tadresse source virtuelle normalise (IPV) et du port par 
un nouveau port de substitution attribue k cet usage. 

La commande : "PORT IP_ret, P_ret" 
ou : - IP_ret est 1'adresse IP de la connexion en retour ; et 
P_ret le Port de la connexion en retour, 

va etre translate en : 

"PORT IPv, Pv'V 
ou : - IPv est 1'adresse source virtuelle, et 

Pv est le port source virtuelle attribue de maniere a garantir l'unicite de la 
connexion. 

Cette commande va creer une entree dans la table de conversion effectuant la 
substitution {IP_ret, P_ret} <=> (Pv, Pv}. 

La duree de vie de cette entree est liee a celle de la connexion de commande FTP. 

Si aucune commande PORT n'est envoy 6t sur le canal de commande, alors IP_ret 
prend par defaut Tadresse source de la connexion de commande et P_ret prend par defaut 
la valeur 20 (valeur par d6faut des connexions de donnees associees au protocole FTP). 

Par ailleurs, pour des raisons de security RCP et RSH imposent que le port 
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source prenne une valeur inferieure h 1024. En effet, ces ports sont d6finis comme 
accessibles uniquement aux utilisateurs ou applications "priviI6gies" sur certains systemes 
d'exploitation. Le proc£d6 de translation de l'invention doit dans ce cas detecter ces 
protocoles (par le port destination de la connexion) et attribuer alors un port de 
substitution d'une valeur irrf&ieure h 1024. 

L'invention concerne egalement un dispositif d' interconnexion mettant en oeuvre 
le proc6d6 d6crit prec^demment. Ce dispositif est par exemple insert dasn un routeur IP, 
permettant T interconnexion des deux reseaux. Dans ce cas, l'adresse IP normalis£e 
unique pour tout le premier reseau prive 1 est l'adresse de raccordement du routeur IP au 
second reseau normalise 2. 

En reference a la figure 10, dans un mode de realisation particulier, le dispositif 
d' interconnexion de reseaux 1 1 comprend : 

des moyens (12) de reception et de stockage d'un paquet ; 

des moyens (13) de lecture d'un paquet re9u et stocke, permettant d'identifier une 
connexion d'origine emprunfee par ledit paquet, par la connaissance d'un jeu de 
parametres d'identification qui sont les contenus des champs "adresse IP source'*, 
"adresse IP destination", "port source", "port destination", et "protocole de transport" du 
paquet re?u et stocke ; 

au moins une table de conversion (14), associant une connexion transposee 
distincte a chaque connexion d'origine, chacune desdites connexion d'origine ou 
transposee etant identiftee par un jeu distinct de parametres d'identification ; 

des moyens (13) de lecture de ladite table de transposition, permettant de lire le 
jeu de parametres d'identification de la connexion transposee associee & la connexion 
d'origine empruntee par le paquet re9u et stocke ; 

des moyens (15) de modification dudit paquet re?u et stocke permettant de 
substituer le jeu de parametres d'identification de la connexion transposee au jeu de 
parametres d'identification contenus dans le paquet re$u et stocke, de fagon k remplacer la 
connexion d'origine par la connexion transposee qui lui est associee dans la table de 
conversion (14). 
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REVINDICATIONS 

1 . Proc£de d'interconnexion de reseaux mettant chacun en oeuvre la technologie 
internet, du type permettant d'interconnecter un premier reseau (1) pr&entant un 
adressage IP priv6 et un second reseau (2) pr6sentant un adressage IP normalise, lesdits 
premier et second reseaux v6hiculant des paquets, chacun desdits paquets comportant un 
en-tete IP (31) comprenant notamment un champ "adresse IP source" (33) et un champ 
"adresse IP destination" (34), les paquets dtant dits sortants s'ils se deplacent du premier 
vers le second reseau & travers ledit dispositif et sortants dans le cas contraire, J 0 ,i = 
{IPb, Pb, IPv, Pv, proto} et J u = {IPb, Pb, IPa, Pa, proto), 

caract6ris6 en ce que ledit precede comprend, pour chaque paquet sortant, une 
premiere etape de conversion de V adresse IP privee contenue dans ledit champ "adresse 
IP source" (33), de fa$on que ledit champ "adresse IP source" dudit paquet sortant 
contienne, aprfcs conversion, une adresse IP normalisee intermediaire et unique (IPv) ; 

et en ce que ledit procede comprend, pour chaque paquet entrant, une seconde 
etape de conversion de V adresse IP normalisee intermediaire et unique (IPv) contenue 
dans le champ "adresse IP destination" (34), de fa$on que ledit champ "adresse IP 
destination" dudit paquet entrant contienne, apres conversion, une des adresses privees 
du premier r&eau. 

2 . Procedd selon la revendication 1, chacun desdits paquets comportant un en-tete 
TCP (41) ou UDP (51) comprenant notamment un champ "port source" (42 ; 52) et un 
champ "port destination" (43 ; 53), ledit en-t6te IP (31) comprenant en outre un champ 
"protocole de transport" (32) indiquant le protocole TCP ou UDP utilise, les paquets 
empruntant des connexions bidirectionnelles, chaque connexion etant un lien logique 
entre une premiere extr6mit€ (A) du premier reseau (1) et une seconde extremity (B) du 
second rSseau (2), chaque premiere ou seconde extremite etant identifiSe par une adresse 
IP (IPa, IPb), un port (Pa, Pb) et un protocole de transport (proto), chaque connexion 
(Cab) &ant identifiee par un jeu de parametres {IPa, Pa, IPb, Pb, proto} correspondant 
respectivement k V adresse IP et au port de la premiere extremite (A), a l'adresse IP et au 
port de la seconde extremite (B), et au protocole de transport commun aux premiere et 
seconde extr&nites, 
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caract6ris6 en ce que lesdites premieres et secondes Stapes de conversion 
d' adresse comprennent, pour chaque paquet, les Stapes suivantes : 

lecture (73) des champs "adresse IP source", "port source", "adresse IP 
destination", "port destination", et "protocole de transport" dudit paquet, de fa?on k 
disposer d'un jeu de paramfetres correspondant aux contenus desdits champs lus et 
permettant d'identifier une connexion d'origine empruntee par ledit paquet ; 

recherche (74) dans une table de conversion (14) d'une entree correspondant a 
ladite connexion d'origine empruntSe par le paquet, ladite table de conversion associant 
une connexion transpose distincte a chaque connexion d'origine ; 

s'il n'existe pas d'entrSe correspondant a ladite connexion d'origine empruntee 
par le paquet, creation et ajout (76) dans ladite table de conversion d'un nouveau couple 
(connexion d'origine, connexion transposee) ; 

modification (77) dudit paquet, de fagon a remplacer la connexion d'origine par la 
connexion transposee qui lui est associee. 

3 . ProcSde selon la revendication 2, caracterise en ce que ladite etape (76) de creation 
et d'ajout dans ladite table de conversion d'un nouveau couple (connexion d'origine, 
connexion transposee) consiste h creer dans ladite table de conversion une premiere et une 
seconde entree associant chacune un jeu de parametres d'origine J 0 = {ip_src, p_src, 
ip_dst, p_dst, p_proto} k un jeu de parametres transposes J t = {ip_src\ p_src', ip_dst', 
p_dst', p_proto'}, 

et en ce que, lorsque ladite connexion d'origine est sortante, c'est-a-dire initiSe 
par ladite premiere extremity (A) du premier reseau (1), lesdits jeux de parametres 
d'origine et transposes s'ecrivent respectivement : 

pour ladite premiere entree : J 0il = {IPa, Pa, IPb, Pb, proto} et J u = {IPv, Pv, 
IPb, Pb, proto}, 

pour ladite seconde entree : J 0 , 2 = {IPb, Pb, IPv, Pv, proto} et J tt2 = {IPb, Pb, 
IPa, Pa, proto), 

les parametres IPa, Pa, IPb, Pb et proto 6tant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 
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les parametres IP\\ Pv et proto definisant une extremite virtuelle (V), IPv etant ladite 
adresse IP normalise intermediate et unique et Pv etant un port dont la valeur est 
calcuiee en dynamique (83), de fa9on qu'il n'existe aucune autre connexion de la table de 
conversion poss&iant le meme couple (IPv, Pv). 

4 . Precede selon la revendication 3, caracterise en ce que, lorsque ladite connexion 
d'origine est entrante, c'est-a-dire initi6e par ladite seconde extremite (B) du second 
i^seau (2), lesdits jeux de parametres d'origine et transposes s'^crivent respectivement : 

pour ladite premiere entree : J oJ = {IPb, Pb, IPv, Pv, proto) et J u = {IPb, Pb, 
IPa, Pa, proto), 

pour ladite seconde entree : J o2 = {IPa, Pa, IPb, Pb, proto) et J u2 = {IPv, Pv, 
IPb, Pb, proto), 

les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extremity virtuelle (V), IPv appartenant au 
groupe comprenant ladite adresse IP normalisee intermediaire et unique, et une adresse IP 
choisie dans la plage d'adresses normalisees attribute au site £ connecter, et Pv etant un 
port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve (82), grace au couple de parametres 
(IPv. Pv), par lecture d'une table de correspondance statique associant de fa? on bijective 
a chaque couple de parametres (IPa, Pa) parmi une pluralite predetermine un couple de 
parametres (EPv, Pv) distinct. 

5 . Procedd selon la revendication 2, caracterise en ce que ladite etape (76) de creation 
et d'ajout dans ladite table de conversion d'un nouveau couple (connexion d'origine, 
connexion transposee) consiste a creer dans ladite table de conversion une unique entree 
associde k un jeu combine de parametres d'origine et transposes J c = {ip 0 , p 0 , ip,, Pjl 
iP2, P2> proto), 

et en ce que, lorsque ladite connexion d'origine est sortante, c'est-a-dire initiee 
par ladite premiere extremite (A) du premier reseau (1), ledit jeu combine de parametres 
d'origine et transposes s'ecrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto), 
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les parametres IPa, Pa, IPb, Pb et proto 6tant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extr^mite virtuelle (V), IPv etant ladite 
adresse IP normalisee intermediate et unique, et Pv etant un port dont la valeur est 
calculee en dynamique (83), de fa?on qu'il n'existe aucune autre connexion de la table de 
conversion possedant le mSme couple (IPv, Pv). 

6 . Procede selon la revendication 5, caract6ris6 en ce que, lorsque ladite connexion 
d'origine est entrante, c'est-k-dire initiee par ladite seconde extremite (B) du second 
reseau (2), ledit jeu combine de parametres d'origine et transposes s'6crit J c = {IPa, Pa, 
IPb, Pb, IPv, Pv, proto}, 

les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extr6mit£ virtuelle (V), IPv appartenant au 
groupe comprenant ladite adresse IP normalisee intermediate et unique, et une adresse IP 
choisie dans la plage d'adresses normalises attribute au site a connecter, et Pv etant un 
port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve (82), grace au couple de parametres 
(IPv, Pv), par lecture d'une table de correspondance statique associant de fa?on bijective 
a chaque couple de parametres (IPa, Pa) parmi une pluralite predetermine un couple de 
parametres (IPv, Pv) distinct. 

7 • Procede selon Tune quelconque des revendications 3 et 4, caracterise en ce que, 
pour chaque paquet sortant, ladite etape (77) de modification du paquet consiste a 
remplacer (93) le contenu des champs "adresse IP source" et "port source" du paquet par 
les parametres correspondants ip^src* et p_src' dudit jeu de parametres transposes J t 
d'identification de la connexion transposee, 

et en ce que, pour chaque paquet entrant, ladite etape (77) de modification du 
paquet consiste a remplacer (94) le contenu des champs "adresse IP destination" et "port 
destination" du paquet par les parametres correspondants ip_dst' et p_dst' dudit jeu de 
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parametres transposes J t d' identification de la connexion transpose^ 
8 . Procede selon Tune quelconque des revendications 5 et 6, caracterise en ce que, 
pour chaque paquet sortant, ladite etape de modification du paquet consiste k remplacer le 
contenu des champs "adresse IP source" et "port source" du paquet par les parametres ip 2 
et p2 dudit jeu combing de parametres d'origine et transposes J c , 

et en ce que, pour chaque paquet entrant, ladite etape de modification du paquet 
consiste a remplacer le contenu des champs "adresse IP destination" et "port destination" 
du paquet par les parametres ipo et po dudit jeu combine de parametres d'origine et 
transposes J c . 

9 . Procede selon Tune quelconque des revendications 2 a 8, caracterise en ce que 
ladite table de conversion (14) est mise a jour de fa?on dynamique selon une strategic 
predeterminee de mise a jour. 

10. Procede selon la revendication 9, caracterise en ce que ladite strategic 
predeterminee de mise a jour consiste a ne laisser chaque couple (110, 111) de 
connexions d'origine et transposee inscrit dans la table de conversion qu'entre un instant 
de debut et un instant de fin de vie de ladite connexion d'origine. 

11. Procede selon la revendication 10, caracterise en ce que, dans le cas d'une 
connexion utilisant le protocole TCP, lesdits instants de debut et de fin de vie de la 
connexion d'origine sont determines en se referant au diagramme d'etat d'une session 
TCP, selon la specification TCP (RFC 793). 

1 2. Procede selon Tune quelconque des revendications 10 et 1 1, caracterise en ce 
que, dans le cas d'une connexion utilisant le protocole UDP, ledit instant de debut de vie 
de la connexion d'origine est determine par le passage, dans un sens donne, d'un paquet 
de requete, et en ce que ledit instant de fin de vie est determine par le passage, dans le 
sens inverse dudit sens donne, d'un paquet de reponse. 

13. Procede selon l'une quelconque des revendications 10 et 11, caracterise en ce 
que, dans le cas d'une connexion utilisant le protocole UDP, ledit instant de debut de vie 
de la connexion d'origine est determine par le passage, dans un sens donne, d'un paquet 
de requete, et en ce que ledit instant de fin de vie est determine par 1'ecoulement d'une 
duree predetermine depuis ledit instant de debut de vie. 
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14* Proc£d£ selon la revendication 9, caracterise en ce que ladite strategic 
pi£d£terminee de mise & jour consiste k : 

cr6er une connexion lorsqu'apparait un nouveau paquet n'appartenant a 

aucune connexion existante ; 

maintenir constamment une variable dSfinissant Theure du dernier paquet 
ayant transit sur cette connexion ; 

lorsque la table contient un nombre predetermine de connexions 
simultandes, supprimer de la table Tentrfie correspondant k la connexion 
dont la variable notant Theure du dernier paquet est la plus ancienne. 

1 5 . Precede selon Tune quelconque des revendications 2 a 14, caracterise en ce qu'il 
comprend une etape de filtrage des paquets sortants en fonction du contenu d'un des 
champs appartenant au groupe comprenant les champs "adresse IP source", "adresse TP 
destination" et "port destination". 

1 6 . Dispositif d' interconnexion de reseaux mettant chacun en oeuvre la technologie 
internet, du type destine h 6tre insure entre un premier reseau (1) presentant un adressage 
IP priv6 et un second reseau (2) presentant un adressage IP normalise, lesdits premier et 
second reseaux vehiculant des paquets, chacun desdits paquets comportant un en-tete IP 
(31) comprenant notamment un champ "adresse IP source" (33) et un champ "adresse IP 
destination" (34), les paquets etant dits sortants s'ils se deplacent du premier vers le 
second reseau k travers ledit dispositif et sortants dans le cas contraire, 

caract6ris6 en ce que ledit dispositif (11) possede une adresse IP normalisee 
interm6diaire et unique (DPv) dans ledit second reseau, 
et en ce qu'il comprend notamment : 

des premiers moyens de conversion des adresses IP privees contenues dans les 
champs "adresse IP source" des paquets sortants, de fa?on que ledit champ "adresse IP 
source" de chacun desdits paquets sortants contienne, apres conversion, ladite adresse IP 
normalisee intermediaire et unique (IPv) ; et 

des seconds moyens de conversion de Tadresse IP normalisee intermediaire et 
unique (IPv) contenue dans les champs "adresse IP destination" des paquets entrants, de 
fagon que ledit champ "adresse IP destination" de chacun desdits paquets entrants 
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contienne, aprfcs conversion, une des adresses privees du premier rSseau. 
1 7 . Dispositif selon la revendication 16, chacun desdits paquets comportant un en-tSte 
TCP (41) ou UDP (51) comprenant notamment un champ "port source" (42 ; 52) et un 
champ "port destination'* (43 ; 53), ledit en-tete DP (31) comprenant en outre un champ 
"protocole de transport" (32) indiquant le protocole TCP ou UDP utilise, 

caract6ris6 en ce que lesdits premiers et seconds moyens de conversion d'adresse 
comprennent : 

des moyens (12) de reception et de stockage d'un paquet ; 

des moyens (13) de lecture d'un paquet regu et stocks, permettant d'identifier une 
connexion d'origine empruntee par ledit paquet, par la connaissance d'un jeu de 
parametres d'identification qui sont les contenus des champs "adresse IP source", 
"adresse IP destination", "port source", "port destination", et "protocole de transport" du 
paquet regu et stocks ; 

au moins une table de conversion (14), associant une connexion transpose 
distincte & chaque connexion d'origine, chacune desdites connexion d'origine ou 
transposee etant identifiee par un jeu distinct de paramfctres d'identification ; 

des moyens (13) de lecture de ladite table de transposition, permettant de lire le 
jeu de param&tres d' identification de la connexion transposee associee a la connexion 
d'origine empruntee par le paquet regu et stocke ; 

des moyens (15) de modification dudit paquet regu et stocke permettant de 
substituer le jeu de paramdtres d'identification de la connexion transposee au jeu de 
paramfctres d'identification contenus dans le paquet regu et stocks, de fagon a remplacer la 
connexion d'origine par la connexion transposee qui lui est associ6e dans la table de 
conversion. 

18o Routeur IP d' interconnexion de reseaux, caract^rise en ce qu'il comprend un 
dispositif (11) selon Tune quelconque des revendications 16 et 17, ladite adresse IP 
normalise intermediate et unique (IPv) etant 1'adresse IP normalisee de raccordement 
dudit routeur IP audit second r6seau (2). 
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